Điều khiển truy cập Internet: Giới thiệu về TMG Access Rule – Phần 1

Quản trị mạng – Trong loạt bài này chúng tôi sẽ giới thiệu cho các bạn về một số vấn đề cơ bản của Access Rules đối với việc quản trị TMG firewall mới.

Tường lửa ISA đã có lịch sử phát triển khá lâu, các phiên bản dần được nâng cấp lên nên theo thời gian và tiến trình phát triển.

[#RelatedNews(8)#]

Năm 2010, phiên bản kế tiếp của tường lửa ISA không chỉ có các tính năng và chức năng mới đáng chú ý, nó còn mang một cái tên mới – tên ISA đã được thay bằng TMG - Threat Management Gateway 2010. Đây là một thay đổi lớn về mặt quan điểm và là một tín hiệu tốt về tính hiệu quả trong tiến trình phát triển bảo mật của Microsoft, Microsoft đã hoàn toàn thay đổi cách tạo phần mềm và tập trung vào vấn đề bảo mật trong mọi giai đoạn phát triển.

Thách thức đối với các thiết lập tường lửa TMG mới là học những vấn đề cơ bản. Chúng ta đã trải qua hàng thập kỷ làm việc với ISA và hầu hết trong mọi quản trị viên đều hiểu rất sâu về các chi tiết kỹ thuật cũng như các kịch bản triển khai phức tạp của nó. Tuy nhiên có rất nhiều người gặp phải vấn đề khi truy cập cũng như cách làm việc của tường lửa TMG. Rất nhiều quản trị viên TMG mới đã tập trung vào tìm hiểu cách điều khiển truy cập gửi vào (cho ví dụ, để điều khiển sự truy cập đến Exchange và SharePoint). Và lúc này họ muốn biết cách điều khiển truy cập các kết nối gửi ra. Đó là lý do mà chúng tôi giới thiệu cho các bạn bài viết này, bài viết sẽ tập trung vào các những vẫn đề cơ bản của Access Rules.

Tìm hiểu về Access Rules

Access Rule được sử dụng để điều khiển truy cập gửi ra từ một mạng được bảo vệ bởi tường lửa TMG. Khi bạn muốn cho phép một máy tính nằm phía sau sự kiểm soát của tường lửa TMG truy cập một mạng khác (gồm có Internet), bạn cần tạo một Access Rule (luật truy cập) để cho phép kết nối đó. Mặc định, không có Access Rule nào cho phép các kết nối qua tường lửa, vì vậy mặc định tường lửa TMG là một bức tường gạch vững chắc bảo vệ cho mạng. Trạng thái đóng cửa mặc định này là một cấu hình an toàn, tuy nhiên nó cũng có nghĩa nếu bạn muốn cho phép lưu lượng qua tường lửa TMG, bạn cần phải hiểu cách Access Rule làm việc và cách tạo chúng như thế nào.

Tạo một Access Rule gửi ra

Để bắt đầu, chúng ta sẽ tạo một Access Rule gửi ra đơn giản cho phép tất cả người dùng có thể truy cập Internet bằng tất cả giao thức. Trong phần tiếp theo của loạt bài này, chúng ta sẽ đi tìm hiểu các vấn đề chi tiết của Access Rules và xem các Access Rules có các vấn đề phụ thuộc gì và cách bạn có thể điều chỉnh các vấn đề phụ thuộc đó.

Chúng ta hãy bắt đầu bằng cách mở giao diện điều khiển tường lửa TMG và kích nút Firewall Policy trong phần panel trái của giao diện, như những gì thể hiện trong hình bên dưới.


Hình 1

Sau khi kích nút Firewall Policy trong panel trái, chúng ta sẽ kích tab Tasks trong panel phải của giao diện. Ở đây bạn sẽ thấy một số tùy chọn, đa số trong chúng có liên quan đến việc tạo các rule tường lửa. Trong ví dụ này, chúng ta sẽ tạo một rule truy cập để cho phép truy cập gửi ra qua tường lửa. Kích liên kết Create Access Rule để khởi chạy Access Rule wizard, như hiển thị trong hình bên dưới.


Hình 2

Trong trang Welcome to the New Access Rule Wizard, đặt tên trong hộp văn bản Access Rule name. Nói chung, bạn nên đặt một tên có ý nghĩa cho Access Rule của mình để có thể quét chính sách tường lửa và biết rule làm gì, đặc biệt là biết mục đích được mục đích của rule. Trong ví dụ này, chúng tôi sẽ đặt tên rule là All Open 1. Trong môi trường sản xuất, bạn sẽ không muốn tạo một rule như vậy vì rule này sẽ cho phép tất cả các máy tính có thể truy cập Internet và chắc chắn không phải những gì bạn muốn có trong môi trường sản xuất.


Hình 3

Trong trang Rule Action, bạn sẽ có các lựa chọn Allow hoặc Deny đối với rule. Lưu ý rằng tùy chọn mặc định là Deny, đây là một tùy chọn tốt về góc độ bảo mật. Chúng ta sẽ thay đổi trạng thái Deny thành Allow trước khi kích Next để biến nó trở thành rule Allow.


Hình 4

Trong trang Protocols, chọn các giao thức mà bạn muốn áp với rule này. Trong hộp sổ xuống This rule applies to, bạn có các lựa chọn sau:

  • All outbound traffic – Sử dụng tùy chọn nếu bạn muốn áp rule này cho tất cả các giao thức.
  • Selected protocols – Sử dụng tùy chọn này để chọn một số giao thức nào đó mà bạn muốn áp cho rule này. Đây là tùy chọn chắc chắn hầu hết trong số các bạn sẽ cần đến.
  • All outbound traffic except selected – Tùy chọn này cho phép bạn cho phép hoặc từ chối tất cả các giao thức ngoại trừ một số giao thức nào đó mà bạn chọn ra.


Hình 5


Nếu chọn tùy chọn thứ hai hoặc thứ ba, bạn có thể kích nút Add để chọn các giao thức mà bạn muốn áp rule này cho chúng. Sau khi kích nút Add, bạn sẽ thấy hộp thoại Add Protocols xuất hiện. Khi kích vào một thư mục nào đó nằm trong hộp thoại này, thư mục sẽ được mở và hiển thị cho bạn một danh sách các giao thức. Nhóm phát triển tường lửa TMG đã tạo sự dễ dàng trong sử dụng bằng cách tách biệt các giao thức theo các nhóm để bạn dễ dàng hơn trong việc tìm các giao thức mà mình quan tâm. Kích đúp vào các giao thức mà bạn muốn cho phép, chúng sẽ xuất hiện trên trang Protocols trong danh sách Protocols.


Hình 6

Một tùy chọn khách bạn có trong trang này sẽ được lộ diện khi bạn kích nút Source Ports. Thao tác của bạn sẽ làm xuất hiện hộp thoại Source Ports. Ở đây bạn có thể điều khiển các cổng nguồn được phép cho các kết nối tương xứng với rule này. Mặc định Allow traffic from any allowed source port được chọn, tuy nhiên nếu bạn muốn khóa các cổng nguồn, bạn có thể chọn Limit access to traffic from this range of source ports và sau đó nhập các giá trị vào trong các trường From To để chỉ rõ các cổng nguồn này.


Hình 7

Chúng ta sẽ không chọn bất cứ cổng nguồn nào lúc này mà sẽ chọn tùy chọn All outbound traffic và sau đó kích Next.

Trang tiếp theo là Access Rule Sources. Ở đây bạn sẽ chọn vị trí của các máy tính nằm phía sau tường lửa TMG mà bạn muốn áp với rule này. Kích nút Add khi đó bạn sẽ thấy hộp thoại Add Network Entities. Kích thư mục có chứa thành phần mạng hiện diện vị trí nguồn của các máy tính mà bạn muốn áp với rule này. Trong ví dụ này, chúng ta sẽ cấu hình rule này áp với tất cả các máy tính nằm trên mạng bên trong mặc định bằng cách kích thư mục Networks và sau đó kích đúp vào mạng Internal.


Hình 8

Sau khi chọn Network nguồn là Internal Network và kích Next, bạn sẽ thấy trang kế tiếp, đây là trang Access Rule Destinations. Ở đây bạn thiết lập các đích đến mà bạn muốn các máy tính từ nguồn đã chọn trước có thể truy cập qua rule này. Trang Access Rule Destinations làm việc giống như trang trước, nơi bạn kích nút Add và sau đó trong hộp thoại Add Network Entities, kích thư mục, tiếp nữa là kích đúp vào thành phần mạng muốn cho phép truy cạp bằng rule này. Trong ví dụ này, chúng ta sẽ chọn mạng External mặc định.


Hình 9

Trang tiếp theo của wizard là User Sets. Trong trang này, bạn chỉ định người dùng mà mình muốn áp với rule này. Mặc định, Access Rules được áp cho tất cả người dùng. Còn lúc này, định nghĩa “all users” của bạn có thể không giống như định nghĩa “all users” của tường lửa TMG. “All users” không có nghĩa rule của bạn sẽ áp với tất cả các tài khoản trong tổ chức của bạn mà “All users” từ phối cảnh của tường lửa TMG có nghĩa tất cả người dùng nặc danh – các kết nối không được nhận thực. Nếu kích nút Add, bạn có thể chọn người dùng khác, chẳng hạn như All Authenticated Users hoặc System and Network Service. Cũng có thể tạo các tập người dùng tùy biến dựa trên Active Directory và các tài khoản RADIUS. Tuy nhiên chúng ta sẽ đề cập thêm về các tùy chọn này trong phần tiếp theo. Trong ví dụ này, chúng ta sẽ chọn tùy chọn All Users và kích Next để chuyển sang trang khác.


Hình 10


Trang cuối cùng của wizard là Completing the New Access Rule Wizard. Đây là trang cho phép bạn xem lại các thiết lập của mình và sau đó kích Finish.


Hình 11

Sau khi rule đã được tạo, nó sẽ vẫn chưa có hiệu lực cho tới khi bạn kích nút Apply ở phía trên của panel ở giữa trong TMG firewall console. Chúng ta sẽ kích nút Apply này ngay bây giờ.


Hình 12

Các tùy chọn khác

Sau khi kích nút Apply, hộp thoại Configuration Change Description sẽ xuất hiện. Ở đây bạn có thể thêm vào phần mô tả cho những thay đổi mà bạn đã thực hiện đối với chính sách tường lửa và phần mô tả này sẽ xuất hiện trong bản ghi về sự thay đổi. Bản ghi về sự thay đổi rất hữu dụng khi bạn cần kiểm tra lại và tìm ra những gì bạn hoặc ai đó đã thực hiện đối với chính sách tường lửa trong trường hợp gặp vấn đề gì đó không như mong đợi.

Lưu ý rằng bạn có một tùy chọn để backup chính sách tường lửa bằng cách kích Export. Thao tác này cho phép bạn backup cấu hình để có thể khôi phục trở về thời điểm trước khi thực hiện thay đổi. Bạn cũng có tùy chọn không hiển thị nhắc nhở này trong tương lai, tuy nhiên chúng tôi không khuyến kích bạn chọn tùy chọn này vì đây là hộp thoại rất hữu dụng cho bạn trong tương lai. Lúc này chúng ta hãy kích Apply.


Hình 13

Hộp thoại Saving Configuration Changes xuất hiện và cho bạn biết rằng các thiết lập chính sách tường lửa đã được lưu vào kho lưu trữ cấu hình. Lưu ý dòng chữ “Existing client connections will be reevaluated according to the new configuration. Client connections not matching the newly enforced policy will be dropped” có nghĩa “Các kết nối máy khách đang tồn tại sẽ bị định giá lại theo cấu hình mới. Các kết nối máy khách không tương ứng với chính sách mới sẽ bị chặn”. Đây là một tính năng mới trong tường lửa TMG. Với tường lửa ISA, chính sách tường lửa mới chỉ được áp dụng cho các kết nối mới, không áp dụng cho các kết nối đang tồn tại. Đây là một cải thiện tuyệt vời và là một trong những lý do bạn nên nâng cấp lên phiên bản mới nhất của tường lửa ISA – mang tên TMG.


Hình 14

Rule mới này xuất hiện trong danh sách chính sách của tường lửa, như những gì bạn có thể thấy trong hình bên dưới. Vị trí trên danh sách phụ thuộc vào nơi bạn đã kích khi bắt đầu wizard. Mặc dù vậy, như những gì chúng tôi sẽ giới thiệu cho các bạn trong phần tiếp theo, bạn có thể đẩy rule này lên trên hoặc xuống dưới trong danh sách.


Hình 15

Kết luận

Trong bài này, chúng tôi đã giới thiệu cho các bạn một số vấn đề cơ bản về Access Rules của tường lửa TMG. Như những gì các bạn thấy, Access Rules được sử dụng để điều khiển lưu lượng gửi ra từ mạng được bảo vệ TMG đến các mạng khác. Mặc định, không có Access Rules và không có lưu lượng nào có thể qua tường lửa TMG. Một Access Rule cần phải được thiết lập để cho phép lưu lượng gửi ra. Access Rules cho phép bạn có thể điều khiển lưu lượng, dựa trên một số các hệ số, chẳng hạn như vị trí nguồn, vị trí đích, người dùng, các giao thức sẽ được sử dụng. Ngoài ra còn có nhiều tùy chọn khác chưa được lộ diện trong Access Rule wizard, và chúng tôi sẽ giới thiệu cho các bạn các tùy chọn này trong phần tiếp theo.

Thứ Ba, 14/09/2010 14:07
31 👨 13.257
0 Bình luận
Sắp xếp theo